发现Pocket的重置密码功能一个问题,不知道算不算bug?

2013-10-13 21:56:29 +08:00
 laomo
我刚才再尝试注册时发现用户名已经被用了,点击重置密码,发现可以选择通过用户名或者邮箱重置密码。然后选择通过用户名,重置密码的邮件发出去了。。也就是说,我知道别人的用户名,就可以这么搞
2874 次点击
所在节点    分享发现
7 条回复
goofansu
2013-10-13 22:05:29 +08:00
然后呢?邮件还是发给那个用户啊
finian
2013-10-13 22:09:18 +08:00
这。。。想说明什么呢
laomo
2013-10-13 22:26:24 +08:00
@goofansu @finian 想说这不合理吧?起码已经是对用户的骚扰邮件了
goofansu
2013-10-13 22:31:05 +08:00
@laomo 要重设密码必定会发邮件。不管你是填用户名还是填邮箱,都不可避免的会发送邮件。

假设你知道别人的邮箱,重设密码照样可以发邮件
yushiro
2013-10-13 22:31:07 +08:00
只要发送重置信的那个界面有图片识别码, 就问题不大。
而且这样设计, 还是方便用户, 万一遗忘了用户名, 只记得邮件地址的情况。
(我就曾经忘记用户名, 忘记密码, 只记得注册邮箱, 结果不让我重置密码,因为用户名与注册邮箱匹配不上)
chrisyipw
2013-10-13 23:24:52 +08:00
@laomo 没有不合理的。

如果不是发到邮箱,那光凭用户名就只能走安全问题、backup code 等方式,这类是属于对安全性要求比较高的服务是正常的。但是 Pocket 并不属于这类服务——失去一个 Pocket 账号只意味着丢了 Archives 和 Favorites。

作为可以通过用户名和邮箱登录的服务,不少人会忘了邮箱或用户名,因为不会有大量重复登录的需求,所以还不如直接允许通过这两个手段去找回密码。

至于骚扰嘛,一旦发现有这个问题,用户就可以去建 filter 或者换一个不用的邮箱,Pocket 也可以建立 N 次请求后就需要验证码或禁止再次请求(或许已经有)。
laomo
2013-10-14 09:40:25 +08:00
可能我第一反映就是没见到过这种方法:在不知道注册邮箱的情况下,通过用户名重置密码。所以觉得有点怪。貌似确实不是什么大问题

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/85474

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX